报告编号：CERT-R-2023-253

报告来源：360CERT

报告作者：360CERT

更新日期：2023-07-03

0x01   事件导览

本周收录安全热点56项，话题集中在安全分析、安全漏洞、恶意软件，主要涉及的实体有：VMware、微软（Microsoft）、YouTube等，主要涉及的黑客组织有：Andariel、Charming Kitten、VANGUARD PANDA等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

研究人员观察到Mirai僵尸网络新变体

日期: 2023-06-26
标签: 信息技术, Mirai僵尸网络

从2023年3月开始，Palo Alto Networks Unit 42的研究员观察到了Mirai僵尸网络的新变体，通过多个常见的物联网设备的漏洞来进行传播，其中包括D-Link、Zyxel和Netgear等。攻击的目标设备包括路由器、DVR、门禁系统和太阳能发电监控系统。该僵尸网络的目的是控制D-Link、Arris、Zyxel、TP-Link、Tenda、Netgear和MediaTek设备，并利用它们进行分布式拒绝服务（DDoS）攻击。这种Mirai变体缺乏暴力破解登录凭据的能力，因此攻击者必须通过利用上述漏洞来手动部署它。该报告呼吁保护物联网设备，以应对此类威胁。

详情

0x04   恶意软件

超级马里奥游戏木马传播恶意软件

日期: 2023-06-26
标签: 文化传播, 游戏

研究人员发现，威胁行为者在传播超级马里奥游戏程序中植入了木马，以此传送多种恶意软件。被植入的软件为Windows版的超级马里奥兄弟游戏程序，其中包括XMR矿机挖矿软件，SupremeBot挖掘客户端和开源Umbral窃取软件。攻击者将合法的超级马里奥游戏安装文件捆绑在恶意软件代码中，针对的目标是游戏玩家，因为他们通常使用强大的硬件进行游戏，这对加密货币挖矿是很好的。攻击者对NSIS安装程序文件进行了篡改，一旦执行这个文件，木马便开始在后台挖矿，在此同时，攻击者还在受害者电脑上窃取敏感信息。该报告警告称，游戏社区的用户群体连续互联，是攻击者针对漏洞和恶意文件进行攻击的理想对象。

详情

新的 PindOS JavaScript dropper 部署 Bumblebee、IcedID 恶意软件

日期: 2023-06-27
标签: 金融业, PindOS, JavaScript

安全研究人员发现了一种名为PindOS的新的恶意工具，它可以传播与勒索软件攻击相关的Bumblebee和IcedID恶意软件。PindOS是一种简单的JavaScript恶意软件dropper，似乎专门设计用于获取传递攻击者终极载荷的下一阶段载荷。深度学习公司的一份报告指出，新的PindOS恶意软件dropper只有一个功能，用于下载Bumblebee或IcedID等恶意软件。它的配置包括定义用户代理以下载DLL载荷、存储载荷的两个URL和调用载荷DLL导出函数的RunDLL参数。此外，PindOS将载荷作为DAT文件下载到“%appdata%/Microsoft/Templates/”，文件名由六个随机数字组成。该工具尽可能地避免基于签名的检测机制，因为它生成“按需”的恶意代码样本。PindOS在出现之初的检测率非常低，即使现在，也仍有一些样本是大部分引擎无法检测到的。

详情

新型移动恶意软件Anatsa分析

日期: 2023-06-27
标签: 信息技术, Anatsa, 移动安全

网络安全公司ThreatFabric发现新型移动恶意软件Anatsa，该恶意软件已经在Play商店中成功安装了超过30,000次。Anatsa是一种银行木马，攻击者在美国、英国、德国、奥地利和瑞士等国家的在线银行客户中推广这种恶意软件。这些攻击者通过Play商店分发其恶意软件，这是Android的官方应用商店。Anatsa可对挂机识别人做出伪装，并可重定向用户到恶意网站。Anatsa会收集银行账户凭证、信用卡详细信息、支付信息等财务信息，并通过覆盖合法银行应用程序的方式窃取资金。ThreatFabric建议用户不要安装可疑发行商发布的应用程序，尽量避免安装安装次数和评论较少的应用程序，以确保Android设备的安全。

详情

APT-C-26（Lazarus）组织使用伪造VNC软件的攻击活动分析

日期: 2023-06-28
标签: 金融业, APT舆情

APT-C-26（Lazarus）是一个活跃的APT组织，该组织的主要攻击目标是金融机构和加密货币交易所，其攻击方式包括网络钓鱼、网络攻击和勒索软件攻击。它们的攻击行为具有高度的技术复杂性和隐蔽性。Lazarus组织的主要目的是获取资金，可能还涉及敏感信息窃取等活动。近期，360高级威胁研究院捕获到APT-C-26组织利用伪造的ComcastVNC恶意软件发起攻击。发现的初始样本是一个压缩文件，一旦用户执行其中的恶意软件，BlindingCan恶意软件就会被释放，继而窃取用户信息。

详情

JOKERSPY 攻击针对日本的加密货币交易所

日期: 2023-06-28
标签: 日本, 金融业, JOKERSPY, 加密货币交易所

一家未具名的日本加密货币交易所遭受了一次针对苹果macOS的后门攻击，攻击名为JokerSpy。研究人员追踪到名为REF9134的入侵事件，威胁行为者使用sh.py后门部署了名为JokerSpy的macOS后门工具。Bitdefender发现了一些具有后门能力的恶意文件，疑似是专门针对苹果macOS系统的高级工具包的一部分。攻击仍在调查中，样本仍较少被检测到。攻击中使用的工具包括sh.py后门、xcc自签名二进制文件以及Swiftbelt枚举工具。该攻击被认为是通过植入后门插件或第三方依赖来实现初始访问。对于该攻击链的其他文件尚待进一步分析。

详情

LetMeSpy Stalkerware 黑客窃取敏感信息

日期: 2023-06-29
标签: 信息技术, LetMeSpy Stalkerware

波兰开发者Radeal开发的安卓追踪软件“LetMeSpy”遭受网络攻击，导致用户个人信息和收集的数据被窃取。该应用可以在安装后悄悄收集手机通话记录、短信和位置信息，被宣传为家长控制和员工监控工具，但实际上允许用户在对方设备上安装软件后偷偷监视其活动。软件隐藏图标，上传信息至远程服务器供用户追踪使用。Radeal通知用户他们的数据已被盗，攻击者获取了用户的电子邮件地址、电话号码和消息内容。

详情

Akira 勒索软件的 Linux 版本针对 VMware ESxi 服务器

日期: 2023-06-29
标签: 信息技术, Linux

Akira勒索软件在全球范围内对企业进行双重敲诈攻击，使用Linux加密程序加密VMware ESXi虚拟机。该勒索软件先针对教育、金融、房地产、制造和咨询等多个行业的Windows系统。威胁行为者窃取被入侵网络的数据并加密文件，要求数百万美元的赎金。该勒索软件已在美国至少攻击了30多个受害者，在5月底和目前还有两个活动高峰。Akira的Linux版本专门瞄准VMware ESXi服务器，可以在一次运行中加密多台作为虚拟机运行的服务器。与其他的ESXi加密程序不同的是，Akira的加密程序没有许多高级功能，但威胁行为者可以自定义攻击参数，控制加密的数据量。

详情

Andariel组织的新恶意软件家族

日期: 2023-06-30
标签: 信息技术, APT舆情

Andariel是臭名昭著的Lazarus组织的一部分，因在2022年中期使用DTrack恶意软件和Maui勒索软件而闻名。同一时期Andariel还积极利用Talos和Ahnlab报告的Log4j漏洞。他们的行动引入了几个新的恶意软件系列，例如YamaBot和MagicRat，而且还更新了NukeSped的版本。在最近进行一项不相关的调查时，卡巴斯基偶然发现了这一行动，并决定进行更深入的挖掘，并发现了一个以前未记录的恶意软件家族。

详情

新的 EarlyRAT 恶意软件与朝鲜 Andariel 黑客组织有关

日期: 2023-06-30
标签: 朝鲜, 信息技术, Andariel , EarlyRAT, RAT

安全分析人员发现了一个未记录的远程访问木马（RAT）“EarlyRAT”，由朝鲜拉萨骇客小组的子组织Andariel使用。Andariel使用DTrack后门收集被入侵系统的信息，并将其用于窃取知识产权和赎金软件攻击。EarlyRAT用于收集被入侵设备的系统信息，并执行命令，可能下载恶意软件或窃取数据。分析人员发现EarlyRAT活动中存在操作者的错误和拼写错误。这一发现补充了拉萨骇客小组的工具库，帮助防御者检测和阻止相关入侵。

详情

Charming Kitten 的 PowerStar 恶意软件通过先进技术不断发展

日期: 2023-06-30
标签: 信息技术, Charming Kitten, PowerStar

伊朗的威胁行为者“Charming Kitten”正在改进其PowerStar后门恶意软件，并采用复杂的钓鱼技术。新版本的PowerStar提供更强的操作安全措施，使其更难分析和获取情报。恶意软件依赖星际文件系统（IPFS）和公开的云托管，但迷人的小猫已经转向私人托管基础设施。PowerStar的最新版本具有远程执行命令、持久性、动态配置更新、多个C2通道以及系统侦查和持久化机制监控的功能。该恶意软件的更新突显了迷人的小猫不断改进技术和规避检测的努力，需要采取强大的网络安全措施来对抗这种复杂威胁。为了应对此威胁，Volexity建议使用YARA规则检测相关活动，屏蔽IOC，如果组织不需要使用IPFS，可以考虑屏蔽IPFS提供商。Zscaler在几个月前也强调了威胁行为者对IPFS基础设施的新发现。

详情

0x05   数据安全

黑客利用 MOVEit 漏洞窃取了 45,000 名纽约市学生的数据

日期: 2023-06-27
标签: 美国, 信息技术, 政府部门, MOVEit

美国纽约市教育局(NYC DOE)表示，黑客从其MOVEit Transfer服务器中窃取了多达45,000名学生的敏感个人信息。该管理文件传输软件被纽约市教育部门用于内部和外部安全传输数据和文档，透露出涉及特殊教育服务提供商的各种供应商。虽然安全更新尚未推出，黑客仍在大规模地进行0day攻击。其受影响的服务器在发现入侵之后被下线，布置了制定对策的纽约市网络专员办公室。FBI正在调查这次更广泛的入侵事件，纽约市教育局已经与它们一起展开合作。Clop勒索软件团伙声称对6月5日对CVE-2023-34362 MOVEit Transfer攻击负责，他们声称入侵了“数百家公司”的MOVEit服务器，并已开始向受影响的组织勒索。

详情

美国航空和美国西南航空遭遇数据泄露

日期: 2023-06-28
标签: 交通运输, 航空公司

美国航空和美国西南航空通知数千名飞行员，Pilot Credentials数据泄露导致他们的个人信息被泄露。Pilot Credentials是一个管理飞行员和新生申请的门户网站，5月3日告知两家公司其系统遭受网络攻击，导致文件被盗。攻击发生在4月30日左右，攻击者获取包含申请者个人信息的文件。泄露的信息包括姓名、出生日期、社保号码、驾照号码、航行证号码、护照和其他身份证号码。两家航空公司表示飞行员申请已转移到自己管理的内部门户网站。目前尚无证据表明被泄露信息被滥用，但个人数据通常会在地下网络犯罪网站上售卖或分享。航空公司强调该攻击仅针对供应商系统，公司自身系统未受影响。数据泄露影响超过5700人（美国航空）和3000人（西南航空）。去年9月，美国航空曾披露一起由员工电子邮件账户被钓鱼攻击导致的数据泄露事件。

详情

0x06   网络攻击

加拿大能源公司Suncor Energy遭受网络攻击

日期: 2023-06-27
标签: 加拿大, 能源业, 加油站

近日，加拿大可持续能源公司Suncor Energy遭受网络攻击，导致加拿大各地的Petro-Canada加油站付款操作受到影响。据报道，Petro-Canada加油站客户无法使用信用卡或奖励积分支付。Suncor Energy立即展开调查，并寻求第三方专家的帮助。虽然Suncor Energy尚未公布攻击的详细信息，但Petro-Canada已经报告称其应用程序和网站的Petro-Points有问题。BleepingComputer称，许多客户在Twitter上报告其在Petro-Canada加油站使用信用/借记卡进行付款时遇到问题。Suncor Energy表示，目前尚未发现与客户等数据相关的被破坏或滥用的证据。

详情

施耐德电气和西门子能源是 MOVEit 攻击的另外两家受害者

日期: 2023-06-28
标签: 能源业, MOVEit

Clop勒索软件组在暗网泄露站点上新增了五个MOVEit攻击的受害者，包括施耐德电气和西门子能源等工业巨头。施耐德电气和西门子能源均提供用于全球关键国家基础设施的工业控制系统（ICS）。以下是新增到该组织泄露站点的受害者名单：

werum.com

施耐德电气（http://se.com）

西门子能源（http://siemens-energy.com）

UCLA（http://ucla.edu）

Abbie（http://abbvie.com）

MOVEit转移是一种受企业使用的托管文件传输工具，可使用SFTP、SCP和基于HTTP的上传来安全传输文件。该漏洞是一种SQL注入漏洞，未经身份验证的攻击者可以利用该漏洞未经授权地访问MOVEit转移的数据库。Clop勒索软件帮派（又称花边暴风雨）因利用MOVEit转移平台的零日漏洞CVE-2023-34362而为此次攻击活动负责。利用MOVEit转移零日漏洞进行勒索软件攻击的受害者名单包括美国能源部、英国航空公司、Boots、BBC、爱尔兰航空公司、Ofcom、壳牌、罗切斯特大学和Gen Digital等。

详情

0x07   安全漏洞

研究人员发布了针对 Cisco AnyConnect Secure 漏洞的 PoC

日期: 2023-06-26
标签: 信息技术, cve-2023-20178

一名安全研究员在网上公布了一个针对Cisco AnyConnect Secure Mobility Client以及Secure Client for Windows的高危漏洞（CVE-2023-20178）的漏洞利用代码。此漏洞可以被攻击者触发以升级特权至SYSTEM级别，从而导致严重影响。Cisco AnyConnect是由思科系统开发的安全远程访问VPN解决方案，广泛用于机构内部远程访问。攻击者可以利用该漏洞在VPN成功连接之后执行客户端升级过程时，操纵特定的Windows安装程序功能，通过滥用特定的Windows安装程序功能从而获得SYSTEM特权。思科已经确认这个漏洞并给出了补丁。

详情

Fortinet 修复了关键的 FortiNAC RCE

日期: 2023-06-26
标签: 信息技术, Fortinet

Fortinet发布了针对FortiNAC解决方案的关键远程命令执行漏洞（CVE-2023-33299）的补丁。FortiNAC是Fortinet设计的网络访问控制（NAC）解决方案，可被组织用于通过执行安全策略、监控设备和管理其访问权限来保证网络的安全和控制访问权限。FortiNAC帮助组织保护其网络基础设施，提供对连接到网络的设备（如笔记本电脑，智能手机，物联网设备和其他终端）的可见性和控制。Fortinet已经发布了安全更新，以解决此严重漏洞，攻击者可以利用该漏洞在易受攻击设备上执行任意代码和命令。所有受影响的客户均建议立即安装上述版本，以确保网络安全。

详情

VMware 修补了 vCenter Server 中的代码执行漏洞

日期: 2023-06-26
标签: 信息技术, VMware

虚拟化巨头 VMware 已发布软件更新，以解决 vCenter Server 中多个内存损坏漏洞，这些漏洞可能导致远程代码执行。在 DCERPC 协议的实施中补丁了总共的五个安全缺陷，其中有四个被 VMware 标记为“重要”，其 CVSS 得分为8.1。VMware 建议所有客户更新受影响产品的补丁版本，指出没有任何这些漏洞的解决方法。该公司表示，目前尚不知道其中任何一个漏洞正在被利用。

详情

LastPass 用户因 MFA 重置而被锁定

日期: 2023-06-26
标签: 信息技术, MFA

自四月早期以来，LastPass 密码管理器用户始终无法登录，并被要求重置验证器应用程序。公司首先在5月9日宣布，由于计划的安全升级，用户可能需要重新登陆并重置多因素身份验证首选项。自此以后，许多用户即使成功重置了 MFA 应用程序（例如 LastPass Authenticator，Microsoft Authenticator，Google Authenticator），仍然无法登录并访问 LastPass Vault。处理问题更加困难的是，受影响的客户无法寻求支持，因为要联系 LastPass 支持需要登录其账户，而他们无法这样做，因为他们处于重置 MFA 验证器的无限循环中锁定了账户。LastPass 表示，这些 MFA 重置是在初始发布之前通过应用消息进行公告的。该公司还发布了几个有关安全升级的警示，以提高密码迭代次数至新的默认值 600,000 轮。来自第三方媒体 Bleeping Computer 的一位 LastPass 发言人告诉该网站，“经过 2022 年事故后，我们向客户基础发送电子邮件和产品内部通信，建议他们作为预防措施重置其首选 Authenticator App 的 MFA 密钥。这一建议也包括在我们在3月初向B2C 和 B2B 客户发送的安全公告中和4月初的第二封电子邮件通信中。”

详情

Grafana 警告由于 Azure AD 集成而导致的身份验证绕过漏洞

日期: 2023-06-26
标签: 信息技术, Azure Active Directory

Grafana发布了多个版本的安全修复程序，修复了Azure Active Directory身份验证中的漏洞，使攻击者能够绕过身份验证并接管使用Azure Active Directory进行身份验证的所有Grafana帐户。漏洞编号为CVE-2023-3128，且危害等级极高，漏洞源于Grafana基于相关的“简介电子邮件”设置的电子邮件地址对Azure AD帐户进行身份验证，但这个设置不是所有Azure AD租户之间的唯一值。攻击者可以创建与合法的Grafana用户相同电子邮件地址的Azure AD帐户，从而劫持帐户。Grafana已针对这个漏洞推出了修复程序，建议用户升级至该修复程序以确保安全。对于无法升级它们的Grafana实例的用户，建议在Azure AD设置中添加“allowed_groups”配置，将登录尝试限制为白名单组的成员。

详情

数百万人面临 GitHub 存储库上的 RepoJacking 风险

日期: 2023-06-27
标签: 信息技术, GitHub, 供应链安全

安全研究人员揭示了一种影响数百万GitHub存储库的重大漏洞，名为RepoJacking。该安全漏洞允许攻击者在组织的内部环境或其客户的环境中执行代码。安全公司在技术写作中解释说，RepoJacking是指攻击者利用GitHub上的重命名功能，创建旧和新存储库名称之间的链接。攻击者可以利用该漏洞通过获取旧存储库名称并将用户重定向到其存储库来执行代码。该安全漏洞可能影响整个GitHub存储库基础，存在远程执行和安装后门的风险。安全专家表示，关键是要实现安全的去配置，包括在云资源和开源软件的使用过程中，所有的引用都要及时更改。

详情

互联网系统联盟 (ISC) 修复了 BIND 中的三个 DoS 漏洞

日期: 2023-06-27
标签: 信息技术, DOS

美国互联网系统联盟（ISC）发布了安全更新，以解决DNS软件套件BIND中的三个DoS漏洞。这三个问题被跟踪为CVE-2023-2828、CVE-2023-2829和CVE-2023-2911，可远程利用。ISC表示，这三个缺陷属于高危漏洞，可被利用来占满设备的内存，或造成BIND的守护进程"named"崩溃。ISC通过发布BIND版本9.16.42、9.18.16和9.19.14以及BIND支持的预览版本9.16.42-S1和9.18.16-S1解决了三个漏洞。目前尚未发现利用以上漏洞的攻击。

详情

Windows 10 KB5027293更新发布，包含3个新功能、14个更改

日期: 2023-06-28
标签: 信息技术, 微软（Microsoft）, Windows 10

微软发布了可选的KB5027293预览累积更新，主要是为Windows 10 22H2进行维护修复，包括修复崩溃和网络连接问题。此次更新添加了两个企业功能，改进了中文字体和输入法。与“补丁星期二”不同，预览更新不包含安全更新。Windows用户可以在设置中手动检查更新并安装此更新。更新后，Windows 10 22H2版本将升级到19045.3155。此外，用户还可以在Microsoft Update Catalog手动下载和安装此预览更新。修复问题包括屏幕键盘无法打开、添加了Microsoft Defender的新功能以强制解除设备隔离、在Microsoft云中进行身份验证、改进了中文字体和输入法、修复了阻止Active Directory身份验证的错误。详细修复列表可在KB5027293支持公告中查看。

详情

NPM注册表存在“清单混淆”安全漏洞

日期: 2023-06-29
标签: 信息技术, 供应链安全

NPM（Node Package Manager）注册表存在“清单混淆”安全漏洞，使攻击者能够在软件包中隐藏恶意代码，没有被发现。这一漏洞已经存在多年，GitHub对其有所了解，但未及时解决。开发者应该在安装软件包前仔细检查package.json文件，以确定安装的依赖关系和执行的脚本。如果需要保证数据一致性，可以使用注册表代理。该问题对npm社区和所有主要的软件包管理器都有影响。GitHub对此问题的解决方案尚未确定。

详情

针对新的 Arcserve UDP 身份验证绕过漏洞的利用已发布

日期: 2023-06-29
标签: 信息技术, exp

数据保护供应商Arcserve修复了其统一数据保护（UDP）备份软件中的一个高危安全漏洞。该漏洞可以让攻击者绕过身份验证并获得管理员权限。Arcserve UDP是一种数据和勒索软件保护解决方案，旨在帮助客户防止勒索软件攻击，恢复受损数据，并实现有效的灾难恢复以确保业务连续性。Arcserve在6月27日发布了UDP 9.1修复这个漏洞（跟踪编号为CVE-2023-26258），这个漏洞是由安全研究人员Juan Manuel Fernandez和Sean Doherty与MDSec的ActiveBreach红队发现并报告的。该漏洞可以使攻击者在本地网络上获取易于解密的管理员凭证后访问UDP管理界面。Juanma Fernandez表示，如果目标服务器已经修补了CVE-2023-26258，并使用默认配置，则可以使用一对默认的MSSQL数据库凭证来获取管理员凭证。MDSec还分享了利用认证绕过来扫描具有默认配置的本地网络上的Arcserve UDP实例、以及通过管理界面的认证绕过来检索和解密凭证的演示性工具。Arcserve表示，其数据保护产品帮助大约235,000个客户在150个国家保护数据。

详情

Gentoo Soko 中的关键 SQL 注入漏洞可能导致远程代码执行

日期: 2023-06-29
标签: 信息技术, SQL注入漏洞

SonarSource的研究人员在Gentoo Soko中发现了两个SQL注入漏洞，可导致受影响系统上的远程代码执行（RCE）。攻击者可以利用这些漏洞对易受攻击的系统执行任意代码。漏洞存在于包搜索处理程序和GraphiQL解析器中，使未经身份验证的攻击者能够执行任意SQL查询。尽管使用了ORM库和预编译语句，但由于数据库的配置错误，仍存在利用漏洞进行SQL注入攻击的可能性。研究人员建议开发团队了解ORM API的设计，避免类似漏洞的滥用。

详情

0x08   安全分析

分析与Triangulation行动有关的植入物TriangleDB

日期: 2023-06-27
标签: 信息技术, APT舆情

Triangulation行动背后的攻击者利用iOS内核漏洞在设备内存中部署了名为TriangleDB的间谍软件植入程序。它部署在内存中，这意味着当设备重新启动时，植入物的所有痕迹都会丢失。因此，如果受害者重新启动设备，攻击者必须通过发送带有恶意附件的iMessage来重新感染设备，从而再次启动整个漏洞利用链。如果没有重新启动，植入程序将在30天后自行卸载，除非攻击者延长此期限。

详情

APT 组织 VANGUARD PANDA 在最近的攻击中使用了一种新的间谍技术

日期: 2023-06-27
标签: 制造业, 政府部门, 信息技术, 交通运输, 教育行业, VANGUARD PANDA, Volt Typhoon

CrowdStrike研究人员观察到，APT组织VANGUARD PANDA，又称Volt Typhoon，正在使用新的技巧来获取进入目标网络的初始访问。Volt Typhoon组织至少自2021年中期以来一直活跃，对关键基础设施进行网络攻击。在最近的攻击活动中，该组织瞄准了通信、制造、公用事业、交通、建筑、海运、政府、信息技术和教育等行业的组织。Crowdstrike报告称，该组织使用近乎完全的“living-off-the-land”技术和“hands-on-keyboard”活动来逃避检测。在攻击中，APT组织使用ManageEngine Self-service Plus漏洞获取初始访问，然后依靠自定义Web shell实现持久的访问，并使用“living-off-the-land”（LOTL）技术进行横向移动。Crowdstrike研究人员认为，VANGUARD PANDA组织具有深入的目标环境知识，这显然是通过执行广泛的先前情况调查和枚举获得的。

详情

海底电缆遭受网络攻击的风险日益增加

日期: 2023-06-28
标签: 居民服务, 海底电缆

一份新报告发现，海底通讯电缆成为越来越多网络威胁行动者的目标，可能会导致全球互联网大规模瘫痪。报告指出，近期地缘政治发展，如俄乌冲突、中方对台湾的强硬行动以及美中紧张关系升级，将是短期内风险环境的主要驱动因素。报告认为，由于国家之间紧张局势加剧，这些海底电缆可能成为破坏和间谍攻击的目标。报告还提到了中国民政船在2023年2月故意割断了连接台湾和马祖离岛的两条电缆，以及俄罗斯总统普京的盟友德米特里·梅德韦杰夫宣称俄罗斯可以破坏海底通讯电缆。报告警告称，攻击者可能利用远程网络管理系统对电缆进行攻击，这可能导致整个电缆系统的安全和弹性受到威胁。同时，报告还指出成功攻击海底电缆可能导致数据问题和间谍活动，并建议组织和政府加密通信以减轻风险。

详情

新的 Mockingjay 进程注入技术可逃避 EDR 检测

日期: 2023-06-28
标签: 信息技术, Mockingjay

“Mockingjay”是一种新的进程注入技术，可以绕过EDR和其他安全产品，在被入侵的系统上执行恶意代码而不被检测到。它利用具有RWX部分的合法DLL进行注入，并使用"Hell’s Gate EDR解钩"技术绕过EDR钩子。研究人员通过找到易受攻击的DLL，并利用其默认的RWX部分，成功地执行注入操作。此技术不使用常见的Windows API调用，也不进行内存分配或设置权限，以避免被检测。使用"Mockingjay"可以在不引起警报的情况下绕过EDR解决方案，再次提醒组织需要采取全面的安全措施。

详情

美国数百台设备被发现违反新的 CISA 联邦机构指令

日期: 2023-06-28
标签: 信息技术, 政府部门, CISA 联邦机构指令

Censys研究人员发现了数百个美国联邦机构网络中的互联网公开设备，根据最近的CISA绑定操作指令，这些设备需要进行安全保护。分析了50多个联邦文职行政机构（FCEB）组织的攻击面后，发现超过13,000个互联网公开主机，分布在与FCEB机构相关的100多个系统上。其中，有超过1,300个主机可通过IPv4地址访问，并且有数百个允许访问各种网络设备管理界面。此外，Censys还发现了多个已知为数据窃取攻击的威胁向量的服务器，并且发现了可能导致数据泄露的目录列表、受零日攻击的Barracuda Email Security Gateway设备以及使用已过时软件的服务器实例。根据CISA的指令，所有Censys在美国联邦机构网络中发现的互联网公开管理界面必须在14天内进行安全保护。CISA还将扫描设备和接口，并向机构通报结果。同时，CISA将根据需求提供技术支持，并提供具体设备的综合审查和实施强大的安全措施的指导，以提高联邦机构的网络安全水平。

详情

超过一半的英国银行的客户面临电子邮件欺诈

日期: 2023-06-28
标签: 英国, 金融业, 电子邮件欺诈

安全专家警告说，大部分英国主要银行未能通过DMARC实施来保护客户免受电子邮件诈骗。基于域的消息身份验证、报告和一致性 (DMARC) 协议通过在传递消息之前验证发件人身份，帮助防止基于电子邮件的欺诈和假冒尝试。Proofpoint分析了 150 家英国银行的 DMARC 实施策略，发现有30%的银行完全没有保护措施，18%采取了最低级别的监控策略。不到一半的银行实施了拒绝策略。专家警告银行是网络犯罪分子主要的目标，应加强网络安全措施，保护客户的数据和资金。DMARC也可以应对企业电子邮件欺诈威胁。

详情

Mockingjay 进程注入技术允许 EDR 绕过

日期: 2023-06-28
标签: 信息技术, Mockingjay

Mockingjay是一种新的进程注入技术，可以绕过安全解决方案，从而在受损系统上执行恶意软件。攻击者可以利用这种新的进程注入技术绕过安全控制，并在受损系统上获得未经授权的访问权限。进程注入是一种将恶意代码注入到进程的内存空间中的方法。安全解决方案通常会在每个启动的进程的内存空间中设置钩子来检测进程注入。安全解决方案使用钩子来截获和捕获传递给Windows APIs的参数。Mockingjay技术利用具有默认保护设置为RWX（读写执行）的受信任的Windows库来注入代码进入不同的进程，从而降低了被防御软件检测到的可能性。研究人员发现，msys-2.0.dll库具有默认的RWX内存段，可以被攻击者利用来加载恶意代码。攻击者可以通过自我注入或远程进程注入来绕过安全措施，利用具有RWX内存段的脆弱DLL执行进程注入。最后，研究人员提供了一个视频证明了该方法的实际操作过程和结果。

详情

分析报告：商业电子邮件泄露攻击的现状

日期: 2023-06-29
标签: 金融业, 商业电子邮件欺诈（BEC）

商业电子邮件欺诈（BEC）对各种规模的企业构成越来越大的威胁。攻击者利用电子邮件账户入侵、伪造合法邮箱等不同策略获取敏感信息。BEC攻击采用多种方式进行，最危险的是它们具有明确的目的性。攻击针对特定组织内部人员，消息常针对受害者个人化定制。攻击包括伪造邮件或网站、钓鱼等方式。文章中还提到了几种典型攻击类型，如CEO欺诈、账户入侵、虚假发票等。为了防范此类攻击，建议加强员工教育，实施强密码策略，并使用安全基础设施来防止账户被入侵。Specops密码策略被推荐用于提高密码安全性。了解攻击类型，并采取预防措施，有助于保护企业免受BEC攻击。

详情

电磁故障注入攻击可接管无人机

日期: 2023-06-29
标签: 制造业, 无人机

IOActive的研究人员对无人机进行了电磁干扰攻击（EMFI）的分析，发现攻击者可以通过此方式实现任意代码执行和接管无人机。他们专注于利用非侵入性技术，对已加固的无人机进行代码执行。研究旨在利用电磁侧信道攻击或电磁干扰攻击来实现目标。研究人员在最受欢迎的四旋翼无人机DJI Mavic Pro上测试了攻击。实验中，研究人员使用EM辐射尝试获取加密密钥并解密固件，但结果表明成功绕过签名的概率不到0.5%。其次，研究人员采用基于Riscure之前研究的EMFI方法。他们通过干扰引发故障，导致一条指令变为另一条指令，并控制PC寄存器。为此，研究人员搭建了测试环境，包括一台笔记本电脑（用作控制器）、电源、Riscure的Spider（用于产生触发信号）、示波器、XYZ转台和EMFI脉冲发生器。IOActive发现了这些攻击后，于2023年4月4日与DJI团队共享了研究结果，并在2023年5月4日约定了发布日期。

详情

分析Lazarus组织的GoldGoblin行动

日期: 2023-06-30
标签: 文化传播, APT舆情

Lazarus组织是针对韩国的最具威胁性的网络威胁组织之一。该组织滥用韩国广大企业和用户使用的安全软件和媒体网站进行初步渗透。主要在新闻文章页面中插入恶意脚本，将其作为水坑页面，在访问页面时采用通过安全软件漏洞安装恶意代码的策略。在此过程中，暴露出攻击者通过窃取安全解决方案开发商的源代码来开发漏洞代码。根据本次事件的主要特征，将其命名为Operation GoldGoblin，这个名字反映了Lazarus组织在事故调查过程中的行为。

详情

RedCurl组织的新攻击行动

日期: 2023-06-30
标签: 信息技术, APT舆情

BI.ZONE网络威胁情报团队检测到专门从事企业间谍活动的黑客组织Red Wolf发起的一项新攻击行动。与之前的活动类似，该组织继续利用网络钓鱼电子邮件来获取目标的访问权限。为了在受感染的系统上传播恶意软件，Red Wolf使用包含LNK文件的IMG文件。通过打开这样的文件，受害者会运行一个被混淆的DLL文件，该文件又会在受害者的设备上下载并执行RedCurl.FSABIN。这使得攻击者能够在受感染的环境中运行命令和其他工具以进行后渗透攻击。

详情

Kimsuky组织滥用Chrome远程桌面

日期: 2023-06-30
标签: 信息技术, APT舆情

近期，Kimsuky组织在传播恶意代码的过程中主要使用恶意韩文和MS Office文档文件或CHM格式。用户收到带有这些恶意代码的鱼叉式钓鱼邮件后，会将其视为正常的文档文件并执行该文件，从而可能会在系统中安装额外的恶意代码。在AppleSeed分发过程中，主要使用WSF或JS等脚本来伪装文档文件的扩展名。当恶意代码被执行时，正常文档文件与恶意代码一起被执行。在获得受感染系统的控制权后，Kimsuky组织仍然安装了额外的恶意代码来远程控制 GUI 环境，最新的利用中出现了滥用Chrome 远程桌面的情况。

详情

新报告发现日本成为许多APT组织的瞄准目标

日期: 2023-06-30
标签: 日本, 金融业, 政府部门, 网络间谍

据Rapid7的报告显示，日本成为了许多网络间谍和金融动机行动的目标。报告指出，在2022年上半年中，制造业遭受了32.5%的勒索软件攻击，远高于医疗行业的7.9%。日本制造业具有全球供应链和即时生产的特点，使其成为攻击的薄弱环节。此外，报告还提到，许多日本母公司的妥协源自海外子公司或附属公司，威胁行动者通过横向移动进入日本母公司的系统。由于日本在网络安全政策方面的落后，这些威胁对于日本特别具有挑战性。Rapid7的报告旨在提供一个全面的英文视角，以帮助了解日本的威胁态势，而日本政府也在不断完善国家安全战略。

详情

VPN 和 RDP 利用是2022年最常见的攻击技术

日期: 2023-06-30
标签: 信息技术, VPN

根据ReliaQuest的最新报告，去年最常见的攻击技术是对远程服务（如VPN和RDP）的利用。报告基于35,000起事件的数据，记录了近5,000起远程服务利用事件，是次多技术——主动扫描的两倍以上。暴露的远程服务是入侵目标网络或建立持久性的常见方法。报告还揭示了初始访问恶意软件主要通过钓鱼邮件传播，防御逃避技术普遍存在，而金融服务行业对暴露凭证的风险最为严重。ReliaQuest建议组织充分监控和保护远程服务。报告指出，勒索软件仍是2023年企业面临的最大风险，及时了解勒索软件活动的最新发展和追踪已知攻击是防范的最佳方式。

详情

0x09   行业动向

Google 捐赠 2000 万美元支持创建网络安全协会

日期: 2023-06-26
标签: 信息技术, 网络安全协会

谷歌CEO Sundar Pichai 承诺捐赠2000万美元以支持并扩大网络安全协会，向数千名学生介绍网络安全工作的潜力，同时帮助小政府办公室、农村医院和非营利组织抵御黑客攻击。去年全球网络攻击数量上升了38%，而被培训处理此类威胁的人才短缺，这个新举措旨在解决这两个问题。去年，该科技巨头推出了谷歌网络安全证书计划，以帮助人们准备进入初级网络安全工作。谷歌的学术伙伴计划则致力于创建网络安全领域的学习和就业机会。通过向那些没有技术部门的小型机构提供威胁评估和安装防线的帮助，网络安全机构将协助采取低端解决方案以对抗大量威胁。

详情

英国公司呼吁改变英国的网络必需品计划

日期: 2023-06-27
标签: 英国, 政府部门, 认证

英国政府回应了对其“网络安全基本要求”(Cyber Essentials)计划的一些关注，称目前整个国家仅有35,000家企业得到认证。这个计划由英国科学、创新技术部(DSIT)和国家网络安全中心(NCSC)主持，由IASME联盟提供服务，旨在提高英国各个组织的基线安全。该计划自9年前推出以来，认证数量已从2017年1月的不到500家/月增长到2023年1月的近3500家/月，但仍然只覆盖了预估的英国550万个私营企业中微小的部分。DSIT对项目进行的评估中，提出了对控制措施无关性和灵活性更高的问题，以支持组织间在不同类型、规模和行业实施网络安全措施的挑战。政府数据显示，只有14％的企业和15％的慈善组织知道“网络安全基本要求”计划。很多组织选择通过认证只是因为他们必须履行与公共部门客户的合约要求，而不是因为认为这个计划是好的价值。因此，报告提出了一些DSIT、IASME和NCSC的建议，包括提高当前和未来用户的安全威胁意识和自我选择，改善信息、工具和指导，为不同类型和规模的企业提供更加个性化的信息，考虑让“基本要求”计划更加灵活，以响应当前用户的需求。

详情

Windows 11 将为 Windows Hello 提供内置密钥管理器

日期: 2023-06-27
标签: 信息技术, Windows 11

微软正在Windows 11中扩展对通行证的支持，以通过生物识别身份验证更安全地登录网站和应用程序。通行证是与特定设备（例如计算机、平板电脑或智能手机）相关联的独特代码。使用通行证显着降低了数据泄漏的风险，因为它们提供了保护，可以防止无法窃取它们并获得未经授权的访问权限的网络钓鱼攻击。与密码相比，通行证为PIN或生物识别身份验证（如指纹或面部识别）提供了更安全和方便的选择，消除了记住和管理多个密码的需求，提高了整体安全性和用户体验。Windows 11 Insider Preview Build 23486发布到Dev Channel，具有无密码改进，让客户可以使用通行证和Windows Hello登录他们的帐户。

详情

纽约初创公司Venn Software融资 2900 万美元为笔记本电脑技术构建 MDM

日期: 2023-06-29
标签: 制造业, 信息技术, MDM

纽约初创公司Venn Software获得了2900万美元的融资，他们正在为笔记本电脑开发一种类似移动设备管理（MDM）的解决方案，以保护远程工作人员。Venn提供的Secure Enclave产品可以在远程员工笔记本电脑上加密所有数据并进行访问管理，从而保护公司数据而无需控制整个设备。该公司认为传统的VDI解决方案成本高、速度慢，他们正在构建适用于安全个人电脑自带（BYO-PC）的专用技术。Venn相信远程工作的需求将持续增长，需要新的数据管理方法。他们的投资者认为，远程工作和分散的劳动力将成为常态，需要新的方法来保护远程工作。

详情

Brave 浏览器通过新的本地资源限制增强隐私性

日期: 2023-06-29
标签: 信息技术, Brave浏览器

Brave浏览器将引入新的限制控制功能，允许用户指定网站访问本地网络资源的时间。目前，大多数浏览器都可以轻松访问本地资源，但这也导致了用户隐私和数据安全的问题。Brave成为唯一一个同时阻止安全和非安全公共网站访问本地资源的浏览器。Brave将推出本地主机访问权限，并通过过滤器列表规则阻止滥用本地访问的脚本和网站。用户可以手动授予访问本地资源的权限，并允许可信任的网站在首次访问时请求访问本地网络资源。同时，对于来自本地主机的请求，将不需要特殊权限即可通过。这一功能将在Brave桌面版和Android版的1.54版本中推出。

详情

Proton 推出开源密码管理器

日期: 2023-06-30
标签: 信息技术, 密码管理器

Proton AG全球发布了开源免费密码管理器Proton Pass，可作为浏览器扩展或移动应用，用于安全存储密码和备忘录。它与其他密码管理器的不同之处在于使用了强大的bcrypt密码哈希和加强的Secure Remote Password（SRP）进行身份验证，对所有数据进行加密，并提供隐藏电子邮箱别名和防止数据泄露的功能。此外，Proton强调其隐私友好的瑞士司法管辖权，并将软件的代码进行独立审计。免费版本提供无限登录和加密备忘录，但仅限使用十个电子邮箱别名和三个2FA自动填充。付费用户可享受更多功能，并将来有桌面版本推出。感兴趣的人可以查看Proton Pass的源代码。

详情

MITRE 发布了 25 个最危险软件漏洞的新列表

日期: 2023-06-30
标签: 信息技术, MITRE

2023年6月29日，MITRE公布了过去两年中软件中存在的25个最危险的弱点。这些弱点包括软件解决方案中的漏洞、错误和漏洞，可能危及软件所安装和运行的系统的安全性。它们为恶意行为者提供了入侵设备、获取敏感数据或触发拒绝服务攻击的机会。MITRE的评分基于每个弱点的严重性和普遍性，通过分析43,996个CVE条目，并重点关注CISA的已知已利用漏洞目录。MITRE公布这个列表，为广大社区提供关于最严重软件安全弱点的宝贵信息，需要立即引起关注。CISA呼吁开发人员和产品安全响应团队查看这个列表，并评估建议的缓解措施。

详情

YouTube 测试将广告拦截用户的视频浏览量限制为3次

日期: 2023-06-30
标签: 文化传播, YouTube

YouTube正在进行一项全球范围内的小规模实验，警告使用广告拦截软件的用户关闭拦截器以避免观看视频限制。在实验中，一旦观看了三个视频，YouTube播放器将被屏蔽。弹窗提醒用户：广告能够让全球数十亿用户免费使用YouTube，用户可以选择禁用广告拦截软件或订阅YouTube Premium享受无广告服务。此前，YouTube曾试图直接阻止广告拦截软件用户访问平台。同时，根据Variety的报道，YouTube的音乐和付费服务近期已经突破8000万订阅用户，仅一年时间新增了3000万用户。

详情

美国麻省理工学院发布评估网络安全方法的框架

日期: 2023-06-30
标签: 信息技术, 教育行业, 网络安全框架

麻省理工学院（MIT）的研究人员发布了一个名为Metior的框架，用于评估网络安全混淆方案的效果。该框架通过定量评估受保护的程序泄露给攻击者的信息量来进行分析。与传统的阻止侧信道攻击的方法相比，混淆方案更为实用，能够限制攻击者获取敏感信息的能力。Metior允许工程师和科学家研究受害者程序、攻击者策略和混淆方案配置等因素，以确定信息泄露的程度。该框架的应用领域包括微处理器芯片设计和安全研究，它通过数学表示和信息理论技术来分析攻击者对受害者的信息获取。Metior的发布为了解不同攻击策略的有效性提供了新的视角，并有助于更好地评估潜在侧信道攻击的成功率。

详情

NSA 和 CISA 发布保护 CI/CD 环境的指南

日期: 2023-06-30
标签: 政府部门, CI/CD 环境

美国国家安全局（NSA）和网络安全和基础设施安全局（CISA）发布了一套全面的指南，旨在防御持续集成/持续交付（CI/CD）环境。该指南解决了恶意网络行为者（MCAs）利用CI/CD流程中的漏洞的不断增加的威胁，特别是通过泄露秘密信息。CI/CD流程在现代软件开发中至关重要，能够实现无缝和高效的集成和部署过程。然而，依赖于私钥和密码等秘密信息进行身份验证使它们成为网络攻击的主要目标。指南重点讨论了三种主要的威胁场景：MCAs获得开发者的凭据以访问Git库服务，CI/CD流程中应用程序库或容器镜像的供应链受损，以及修改配置或注入恶意依赖项的CI/CD环境受损。此外，指南强调了安全代码签名、网络分割、定期漏洞扫描和在整个CI/CD流程中整合安全措施的重要性。通过实施这些建议，组织可以显著提升其CI/CD环境的安全性，降低未经授权访问、供应链受损和代码注入攻击的风险。

详情

0x0a   其他事件

LockBit黑客团伙正在开发用于新架构的勒索软件

日期: 2023-06-26
标签: 信息技术, LockBit

研究人员发现，LockBit黑客团伙正在开发用于新架构的勒索软件，放弃了Windows系统，这可能为受害者带来全新的问题。新的malware样本已针对FreeBSD和Linux等嵌入式技术，并包括用于CPU的指令集架构（ISA）固件，例如ARM、MIPS、ESA/390和PowerPC，以及Apple M1。这是一项让攻击者难以遏制的新发展，但其针对SoC需要适应其限制并使用最新的漏洞，还需要更强大的技能。LockBit黑客团伙可能将利用它在日益拥挤的RaaS市场中的差异化行动，争夺更多的目标和人才。

详情

Twitter黑客因网络犯罪被判五年监禁

日期: 2023-06-26
标签: 信息技术, Twitter

英国公民约瑟夫·詹姆斯·奥康纳，又名 PlugwalkJoe（24），因涉及2020年 Twitter 攻击事件而因网上犯罪罪行被判五年徒刑。2021年11月，美国司法部控告 Joseph James O’Connor 使用 SIM 交换攻击窃取价值78.4万美元的加密货币。他和同伙使用 SIM 交换攻击来窃取一家曼哈顿加密货币公司的帐户，通过这种攻击，攻击者可以窃取金钱、加密货币、与在线帐户同步的联系人和个人信息。此外，罪犯还可以窃取社交媒体帐户和在线服务（包括金融服务）基于短信的双重认证服务。此前，奥康纳还涉嫌与2020年 Twitter 骇客攻击有关。奥康纳还被指控在2020年6月和7月滋扰和威胁未成年受害者，并在受害者身上实施了一系列恶意攻击行为。法官被判缴获奥康纳79.4万美元。

详情

克罗地亚公民被控经营毒品暗网市场

日期: 2023-06-27
标签: 信息技术, 暗网

Milomir Desnica，一名克罗地亚和塞尔维亚公民被指控经营了Monopoly Market毒品黑暗网络市场。据起诉书指出，这个33岁的男子在2019年底创立并经营黑暗网络市场，销售包括阿片类、兴奋剂、致幻剂、处方药在内的非法药品。2021年，美国执法部门从该网站中不同的供应商处下订单并收到许多毒品。据调查，该男子亲自审核并批准通过他的市场销售毒品。在至少2020年4月至2022年7月期间，该男子利用了至少两个加密货币交易服务来洗钱。目前该男子被指控以加密货币为代价进行了1800万美元的非法药品交易，指控包括毒品分销和持有意图分销50克或更多的甲基苯丙胺，并阴谋虚假银行记录。如果被认定罪名成立，面临终身监禁和20年监禁的可能。

详情

欧洲警方查封EncroChat加密手机通信平台

日期: 2023-06-28
标签: 信息技术, EncroChat

欧洲警方成功关闭了EncroChat加密手机通信平台，导致6600多人被逮捕，并查封了9.79亿美元的非法资金。EncroChat手机提供了强大的加密功能和消息自毁特性，吸引了犯罪分子的关注。警方在2020年秘密监控了该平台的用户之间的通信，通过分析11500万条对话，成功扣押了大量毒品、财产和现金。大多数EncroChat用户从事有组织犯罪或贩毒活动。此外，Europol还成功破解了替代服务Sky ECC的加密，对用户之间的通信进行了监控，并在行动中逮捕了多人和查封了财产。

详情

专家警告 5 月和 6 月 8Base 勒索软件攻击将激增

日期: 2023-06-29
标签: 信息技术, 8Base

研究人员发现，名为8Base的勒索软件组织在2023年5月和6月活动急剧增加。该组织利用加密和“命名和羞辱”技术勒索受害者。攻击主要针对美国和巴西的小型和中型企业，并涉及多个行业。分析人员还发现了8Base与RansomHouse勒索软件组织之间的相似之处。此外，Phobos勒索软件使用的文件扩展名与8Base相似，暗示它们可能有关联。8Base声称由合法的渗透测试人员组成，并在泄漏网站上公开受害者的名单。这一活动迅速崛起，可能是已经存在的组织的延续，但具体与其他组织的关系尚待观察。

详情

亲俄 DDoSia 黑客活动项目成员数量增加 2,400%

日期: 2023-06-30
标签: 俄罗斯, 政府部门, 信息技术, DDoS

DDoSia是一个支持俄罗斯的分布式拒绝服务（DDoS）项目，社区规模迅速增长，超过一万人参与对西方组织的攻击。该项目由一个名为"NoName057（16）"的亲俄黑客团体创建，并通过Telegram平台进行注册和交流。DDoSia不断改进工具集，并引入多种操作系统平台的二进制文件，扩大了影响范围。攻击目标主要集中在立陶宛、乌克兰和波兰等国，特别是针对教育网站和反俄国家。该项目在2023年6月还将两个Wagner网站作为高优先级目标进行攻击。综上所述，DDoSia项目规模不断增长，给目标造成了重大问题。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-06-26 360CERT发布安全周报